secoway usg9500統(tǒng)一安全網(wǎng)關(guān)售前技術(shù)培訓(xùn)膠片

1、Secoway USG9500售前技術(shù)培訓(xùn)安全網(wǎng)關(guān)目錄123USG9500產(chǎn)品介紹USG9500硬件架構(gòu)介紹USG9500特性介紹1USG9500產(chǎn)品定位及概述 市場(chǎng)定位USG9500主要定位于運(yùn)營(yíng)商、金融、教育、能源、等高端用戶，、大規(guī)模主要部署在其高速網(wǎng)絡(luò)出口，提供防護(hù)、安全NAT轉(zhuǎn)換、控制、海量接入等安全功能。 體系結(jié)構(gòu)最領(lǐng)先的“NP多核分布式”架構(gòu) 產(chǎn)品特點(diǎn)最高性能量 、高可靠性、最大容量網(wǎng)關(guān) 、最多接口種類&最大接口容2USG9500規(guī)格參數(shù)3型號(hào)USG9520USG9560USG9580插槽數(shù)量3個(gè)，可配置業(yè)務(wù)板和接口板8個(gè)插槽，可配置業(yè)務(wù)板和接口板16個(gè)插槽，可配置業(yè)務(wù)板和接口板

2、吞吐量20G*220G*520G*10并發(fā)連接數(shù)800萬*2800萬*5800萬*10每秒新建連接數(shù)50萬*250萬*550萬*10性能12G*212G*512G*10隧道數(shù)8萬*232萬32萬虛擬數(shù)409640964096可靠性模塊熱插拔/組件熱插拔/雙機(jī)熱備/鏈路聚合/雙主控/BYPASS接口板類型以太網(wǎng) GE接口單槽位：40GE（光/電）以太網(wǎng) 10GE接口單槽位：4 10G，810G(收斂卡，只有40G性能)目錄123USG9500產(chǎn)品介紹USG9500軟硬件架構(gòu)介紹USG9500特性介紹4硬件架構(gòu) USG9580外觀結(jié)構(gòu) 高度：32U 背板容量: 30T, 400G/Slot 交換容

3、量: 12.58T 主控MPU: 1 : 1備份 交換網(wǎng)：31備份 風(fēng)扇：22備份電源：分區(qū)供電，44備份5序號(hào)模塊單元數(shù)量進(jìn)風(fēng)口 2MPU板 2交換板 4接口板+業(yè)務(wù)板 16走線區(qū) 2風(fēng)扇框 4低頻濾波單元 4系統(tǒng)配電模塊 8獨(dú)立單元 1硬件架構(gòu) USG9560外觀結(jié)構(gòu) 高度：14U 背板容量: 15T, 400G/Slot 交換容量: 7.08T 主控SRU： 1：1備份 交換網(wǎng)：21備份 風(fēng)扇：11備份 電源：分區(qū)供電， 22備份 6序號(hào)模塊單元數(shù)量進(jìn)風(fēng)口 1SRU板 2交換板 1 (共3塊，其中2塊交換網(wǎng)板物理集成在主控板上)接口板+業(yè)務(wù)板 8走線區(qū) 1風(fēng)扇框 2低頻濾波單元 2系統(tǒng)配

4、電模塊 4獨(dú)立單元 1硬件架構(gòu) USG9520直流機(jī)箱雙主控4U3個(gè)業(yè)務(wù)槽位風(fēng)扇1+1備份（同框）電源1+1備份USG9520直流機(jī)箱高4U主控板、線卡前，電源、風(fēng)扇等后7硬件架構(gòu) USG9520交流機(jī)箱雙主控3個(gè)業(yè)務(wù)槽位5U電源1+1備份風(fēng)扇1+1備份（同框） USG9520交流機(jī)箱高5U 主控板、線卡、電源前，風(fēng)扇后8板卡業(yè)務(wù)處理板優(yōu)勢(shì)特性SPI4TMCPU單板20Gbps性能的處理能力“多核+FPGA+ASIC”處理SERDESSMFPGA“母卡+”方式隨需配置CPUTM集成4枚高性能多核處理器多核處理器ASICFPGA全線速處理穩(wěn)定可靠硬件可編程針對(duì)NAT優(yōu)化多核、多線程靈活實(shí)現(xiàn)NAT

5、特性9板卡業(yè)務(wù)處理板卡Service Prosing Unit (SPU)USG9500業(yè)務(wù)處理單元，負(fù)責(zé)對(duì)各個(gè)安全業(yè)務(wù)進(jìn)行集中處理，是組件。按數(shù)據(jù)處理能力分為S01和S02兩種型號(hào)。S01擁有10G的業(yè)S務(wù)處理能力；S（Service Pro02擁有20G的業(yè)務(wù)處理能力。 S01可通過插接SPCsing Card）擴(kuò)展為S02。板實(shí)現(xiàn)USG9500所有的安全業(yè)務(wù)處理功能。S分為如下三種類型：S業(yè)務(wù)板S Anti-DDoS業(yè)務(wù)板S，實(shí)現(xiàn)、NAT（NAT44、NAT64）、安全策略、IPv6等業(yè)務(wù)。，包括DDoS板和DDoS檢測(cè)板，分別為DDoS進(jìn)行檢測(cè)和防御。IPS業(yè)務(wù)板S，處理IPS業(yè)務(wù)。1

6、0板卡接口處理板優(yōu)勢(shì)特性單板最高40Gbps的處理能力“NP+ASIC”處理PICNPTMSM“母卡+”方式隨需配置XAUISPI4SerDesSerDes多種網(wǎng)絡(luò)接口任意適配20G40G1 x 10GE1 x 10G20 x GE 光4 x10 GE 光LPUF-21母板12 x GE 光12 x GE 電LPUF-40母板2 x 10GE4 x10 GE 光11板卡 MPU主控板卡Main Prosing Unit (MPU)USG9500主控交換單元，負(fù)責(zé)系統(tǒng)的集中控制并承擔(dān)路由信息的學(xué)習(xí)交換，是整個(gè)設(shè)備的控制單元。USG9500主控板采用了1：1備份機(jī)制，主用主控板故障后，備份主控板可

7、以迅速接管當(dāng)前工作，確保業(yè)務(wù)不受影響。Switch Fabric Unit (SFU)USG9560有3個(gè)交換網(wǎng)單元，其中2個(gè)交換網(wǎng)單元分別與2個(gè)主控單元集成在一個(gè)主控板上，另外一個(gè)交換單元采用獨(dú)立的交換網(wǎng)板。Switch Route Unit (SRU)USG9580有4個(gè)交換處理單元。整個(gè)交換網(wǎng)實(shí)現(xiàn)3+1負(fù)載分擔(dān)冗余備份保護(hù)。12架構(gòu)系統(tǒng)邏輯架構(gòu)MPU板(主備份)風(fēng)扇系統(tǒng)冗余備份交換矩陣LPU接口板(內(nèi)置網(wǎng)絡(luò)處理器)SPU業(yè)務(wù)板（內(nèi)置多核處理器）SFULPU接口板（內(nèi)置網(wǎng)絡(luò)處理器）SPU業(yè)務(wù)板（內(nèi)置多核處理器）3 1冗余備份13電源系統(tǒng)冗余備份總線管理總線架構(gòu)三個(gè)平面分離14架構(gòu)分布式處理

8、流程15設(shè)備級(jí)高可靠USG9580風(fēng)扇1+ 1業(yè)務(wù)處理板B A C K P L A N E交換網(wǎng)電源N+ N交換網(wǎng)接口板16接口板交換網(wǎng)交換網(wǎng)業(yè)務(wù)處理板主控板B主控板A可靠性設(shè)計(jì)說明路由器架構(gòu)運(yùn)營(yíng)商級(jí)設(shè)備，路由器架構(gòu)，信元攪渾，可靠性高關(guān)鍵器件冗余主控板1+1備份，交換網(wǎng)3+1備份，風(fēng)扇、電源全冗余業(yè)務(wù)板和接口板分離避免接口故障影響業(yè)務(wù)板承載的業(yè)務(wù)中斷獨(dú)立交換網(wǎng)板主控板故障，不影響整機(jī)交換容量。業(yè)務(wù)板冗余業(yè)務(wù)板之間進(jìn)行負(fù)載分擔(dān)，當(dāng)一塊業(yè)務(wù)板故障，承載的業(yè)務(wù)流量會(huì)分擔(dān)到其它業(yè)務(wù)板進(jìn)行處理機(jī)框支持高擴(kuò)展能力機(jī)框高擴(kuò)展，可支持單板400G處理能力，后續(xù)硬件發(fā)展，可保留機(jī)框投資總結(jié) USG9500 V

9、2R1C01版本，機(jī)框采用200G交互網(wǎng)，以后升級(jí)到V3R1版本的時(shí)候，無須更換機(jī)框，直接更換160G新業(yè)務(wù)板和接口板即可。 新增的4*10GE收斂，插在LPUF-40母卡時(shí)，卡只能具備20G處理能力。 LPUF-21和LPUF-40的。不能混插在同一個(gè)母槽中17目錄123USG9500產(chǎn)品介紹USG9500硬件架構(gòu)介紹USG9500特性介紹18USG9500特性介紹ACL濾NAT功能應(yīng)用層內(nèi)容過濾CGN功能功能虛擬DDOS雙機(jī)熱備 IPS功能 DPI功能GTP功能防范19V2R1C01版本繼承老版本特性概述傳統(tǒng)功能1、基于IP、時(shí)間、方向的ACL濾。2、支持靜態(tài)路由、動(dòng)態(tài)路由、策略路由以及路

10、由策略。3、支持各種DDOS防范：SYN Flood、UDP功能Flood、ICMP Flood、SMURF、Land、Fraggle等 4、支持多種NAT功能：NAT Outbound、Nat Server、域內(nèi)增強(qiáng)功能NAT、雙向NAT、目的NAT、以及多種基于應(yīng)用層的NAT ALG功能1、支持L2TP功能1、支持防御IPS功能2、支持IPSEC3、支持GRE4、不支持MPLS功能功能功能2、支持GTP協(xié)議檢測(cè)3、支持虛擬4、支持P2PIM限流功能5、支持QoS功能6、支持IPv6路由，CGN功能繼承特性20基本業(yè)務(wù)：優(yōu)異的防范能力防范豐富： 支持SYN Flood攻服務(wù)型UDP Floo

11、dSYN Flood擊， ICMP Flood擊， DNS Flood寬和服務(wù)。， UDP Flood攻等，保護(hù)網(wǎng)絡(luò)帶ServiystemZombie networkZombie networkICMP Flood：支持IP和端口掃描探測(cè)開放IP和端口。：支持業(yè)界流行的幾種畸，有效保證設(shè)備安全。防范只需要通過配置命令掃描型防止 畸形包形包傳統(tǒng)的，Zombie networkInstitute networkfirewallCC attackZombie network開啟即可，如果需要更高級(jí)的應(yīng)用層，可以配置專業(yè)的DDoS業(yè)務(wù)板提供更完善的功能。SMURF Attack trafficNorm

12、al trafficNormal network userZombie network21基本業(yè)務(wù)：完善的NAT功能NAT功能滿足多種應(yīng)用場(chǎng)景傳統(tǒng)NAT功能NAT、PAT、NAT server、NAT地址固定避免單用戶等出現(xiàn)異常為每個(gè)上線的私網(wǎng)用戶分配固定的公網(wǎng)地址和端口段范圍，滿足資源獨(dú)享，易于溯源用戶級(jí)NAT（端口段分配）轉(zhuǎn)換為 NET 4源/目的地址NAT擴(kuò)展NATNAT sticky用戶級(jí)NAT靜態(tài)算法NAT支持靜態(tài)NAT支持策略NAT靜態(tài)算法NAT滿足電信靜態(tài)算法要求，由下發(fā)用戶的公私網(wǎng)和端口段范NET 1擁有所有預(yù)知信息，無需設(shè)備發(fā)送相關(guān)日志，節(jié)省設(shè)備性能日志三元組NATA首次er

13、net后，A的公網(wǎng)IP和Port就開放給ernet，有效解決了文件共享、語音通信、傳輸?shù)确矫娴腜2P技術(shù)Server1.2.3豐富的NAT ALG支持如下協(xié)議：DNS、FTP、H323、MMS、MSN、PPTP、RTSP、S、SIP、SQLNET、ILS、NETBIOS、RSH、user-defined以及IPv6 FTP、IPv6 RTSP等NET 3轉(zhuǎn)換為 NET 2Group域內(nèi)NAT用于內(nèi)網(wǎng)用戶提供服務(wù)器供其它城域用戶NAT日志可靠性發(fā)送完善的溯源方案NAT地址池中排除IP地址或端口保證NAT地址池中的地址和端口均可用，對(duì)不連續(xù)地址或端口可靈活設(shè)置豐富的NAT ALG支持雙向NAT，滿

14、足私網(wǎng)間互訪支持私網(wǎng)到私網(wǎng)的轉(zhuǎn)換NAT日志可靠性發(fā)送為了避免日志傳輸過程中丟失，NAT設(shè)備可以向主備日志服務(wù)器同時(shí)發(fā)送；同時(shí)為了避免日志服務(wù)器單臺(tái)設(shè)備性能不足，可以采用輪詢發(fā)送，實(shí)現(xiàn)日志服務(wù)器群的負(fù)載分擔(dān)22圍，基本業(yè)務(wù):全面的IPv6過渡技術(shù)IPv6網(wǎng)絡(luò)過渡方案NAT44/444，NAT64，DS-LiteNAT44(4)能夠大大提高IPv4公網(wǎng)地址復(fù)用率，緩解IPv4地址枯竭問題DS-Lite既可以讓新建網(wǎng)絡(luò)直接步入IPv6，同時(shí)又能兼容現(xiàn)網(wǎng)IPv4應(yīng)用的正常使用 6RD在已有IPv4基礎(chǔ)設(shè)施上，快速地為用戶提供IPv6介入能力DS-Lite + NAT64NAT44IPv6NAT64能夠

15、解決IPv6IPv4的需求可與傳統(tǒng)IPv6過渡安全功能搭配使用，實(shí)現(xiàn)DSlite+NAT64NAT44支持IPv6安全功能已經(jīng)獲得國(guó)際IPv4+ IPv6IPv6 Ready 認(rèn)證僅需增加IPv6的License，無需升級(jí)硬件和BRASBRASBRASBRASBRAS BRAS23基本業(yè)務(wù)：高可靠的雙機(jī)熱備組網(wǎng)雙機(jī)熱備組網(wǎng)USG9500實(shí)現(xiàn)真正的“熱備份”，基于OSPF狀態(tài)的表項(xiàng)可以雙機(jī)實(shí)時(shí)同步，切換的時(shí)候不影響業(yè)務(wù)，切換時(shí)間1秒，可以滿足NGN等對(duì)可靠性、實(shí)時(shí)性要求非常高的場(chǎng)合。HRPVRRPOSPF在路由模式、透明模式下，支持Active- Active、Active-Slave多種組網(wǎng)模

16、型。 USG9500支持業(yè)務(wù)來回路徑不一致，組網(wǎng)更為簡(jiǎn)單，靈活，會(huì)話表快速備份，HRPVRRP路由模式支持會(huì)話表狀態(tài)檢測(cè)，TCP方式的FW1主FW2主SYN FLOOD防范。HRP路由模式透明模式24基本業(yè)務(wù)：虛擬虛擬應(yīng)用USG9500支持多虛擬防一臺(tái)USG9500物理火墻特性，滿足多虛擬化場(chǎng)景，USG9500適合做每個(gè)虛擬租用場(chǎng)景均可以獨(dú)立支持TRUST、UNTRUST、DMZ、VZONE 8個(gè)安全區(qū)域，接口靈活劃分和分配。系統(tǒng)資源獨(dú)立分配，提供獨(dú)立的安全VZONE業(yè)務(wù)、NAT多實(shí)例、多實(shí)例特性。虛擬可獨(dú)立配置的每個(gè)用戶管理員,例如去開通DMZTrustDMZTrust一個(gè)鏈路,就象操作本地

17、防-1-100UnTrustUnTrust火墻一樣.25虛Virtual FW根Root FW基本業(yè)務(wù)：應(yīng)用L2TP&GRE類型1：L2TP，GREL2TP滿足撥號(hào)用戶上網(wǎng)，在公共網(wǎng)絡(luò)上為企業(yè)建立安全的虛擬專網(wǎng)；USG9500USG9500支持靈活的驗(yàn)證機(jī)制，PSTN/ISDN支持Radius服務(wù)器認(rèn)證，內(nèi)部地址分配功能，可根據(jù)需要進(jìn)行選擇。出差員工LNSLAC總部LAC RADIUSLNS RADIUSGRE通過對(duì)絡(luò)報(bào)文進(jìn)行封裝，為兩個(gè)不連通的網(wǎng)絡(luò)建立簡(jiǎn)單的通道；機(jī)制簡(jiǎn)單，不提供加密，可與IPSec配合，不提供流量控制和QoS功能。26LANL2TP 消息 數(shù)據(jù)消息控制消息會(huì)話隧道基本業(yè)務(wù)：

18、應(yīng)用IPSec類型2：IPSecIPSec特定的通信方之間在IP層通過加密與數(shù)據(jù)源驗(yàn)證等方式，來保證數(shù)據(jù)報(bào)在網(wǎng)絡(luò)上傳輸時(shí)的私有性、完整性、真實(shí)性和防重放；通過IPSec方式，USG9500可以提供總部與分支機(jī)構(gòu)之間的IPSec通過IKEv2或L2TP over IPSec方式提供出差員工與總部之間的互訪；，USG9500提供隧道化，IPSec雙機(jī)熱備功能，保證雙機(jī)切換時(shí)，對(duì)端無感知。提供IPSecv6接入，滿足IPv6網(wǎng)絡(luò)的平滑過渡。27增強(qiáng)業(yè)務(wù)：IPSIPS特點(diǎn)優(yōu)秀的IPS性能：?jiǎn)伟?G穩(wěn)定的IPS功能：可靠強(qiáng)大的IPS能力：0-Dayelligence分析和持續(xù)應(yīng)急安全響應(yīng)協(xié)議識(shí)別；防躲避

19、特征檢測(cè)；協(xié)議異常檢測(cè)USGUSGAB分析和攻防技能CE攻防實(shí)驗(yàn)D安全響應(yīng)基于的IPS簽名庫(kù)數(shù)目：USG8000+ABC28增強(qiáng)業(yè)務(wù)：DPIDPI優(yōu)勢(shì)P2PGame未知網(wǎng)絡(luò)流量Module 1 2 3 BT、Emule、迅雷、DC、PPLiveP2PSkype、MSNTalk等音聊天VOIP聯(lián)眾、魔獸世界GameDPI通過對(duì)數(shù)據(jù)流進(jìn)行深度檢測(cè)，可以識(shí)別幾乎所有的應(yīng)用層業(yè)務(wù)，對(duì)P2P、IM、VoIP等類型的網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行分類，并對(duì)不同類型的協(xié)議進(jìn)行相應(yīng)的控制。29VOIP限時(shí)阻斷帶寬保證置優(yōu)先級(jí)IP限連限流ELOG統(tǒng)計(jì)流量限速增強(qiáng)業(yè)務(wù)：DDoSDDoS：層次化防護(hù)動(dòng)態(tài)統(tǒng)計(jì)分析利用協(xié)議流量整型源

20、合法性認(rèn)證流量特征識(shí)別過濾特殊報(bào)文控制基于會(huì)話靜態(tài)過濾轉(zhuǎn)發(fā)棧的正常流量畸形報(bào)文過濾SYN FloodSYN-ACK FloodTCP分片Http Get FloodTCP Flood UDP Flood ICMP Flood連接耗盡TCP Flood UDP Flood UDP分片ICMP Flood流量整型避免目標(biāo)阻塞白LANDFraggleWinnukeIP Option 超大ICMP ICMP重定向 ICMP不可達(dá)TRACERTof DeathHttpt FloodCC防御Tear DropTCP標(biāo)志Https FloodDNS Query FloodDNS Reply FloodSIP

21、 FloodHTTP Get FloodHttpt Flood通過層次化的防護(hù)流程，精準(zhǔn)的防護(hù)技術(shù)有效的防范網(wǎng)絡(luò)的各種DoS/DDoS，同時(shí)保證網(wǎng)絡(luò)正常流量的低時(shí)延30丟棄增強(qiáng)業(yè)務(wù)：QoSQoS：端到端控制端到端的流量控制多級(jí)隊(duì)列調(diào)度與精細(xì)化流量整形接收?qǐng)?bào)文帶寬保證擁塞管理分類與標(biāo)記提供業(yè)務(wù)提高客戶服務(wù)滿意程度保證資源利用最大化，全面服務(wù)質(zhì)量31V2R1C01版本新增功能介紹1、支持IPSec主主熱備組網(wǎng)2、CMPv2AIPSec&PKI1、端口預(yù)分配（port-range） 2、地址溯源靜態(tài)算法3、CGN會(huì)話數(shù)限制4、域內(nèi)ALG5、透明模式NAT3、SCEP自動(dòng)更新4、多點(diǎn)接入5、異地容災(zāi)，

22、路由自動(dòng)下發(fā)BCGN溯源C云計(jì)算D其他新增功能1、IPv6虛擬2、DDoS增強(qiáng)3、安全防護(hù)白1、虛擬互轉(zhuǎn)2、VRF限流，VRF限會(huì)話3、ACL擴(kuò)容4、VRRP擴(kuò)容5、轉(zhuǎn)發(fā)多實(shí)例4、虛擬支持GRE5、子接口限流32新增業(yè)務(wù)：IPSec雙機(jī)熱備組網(wǎng)A-A模式IPSec AA模式：組網(wǎng)更完善ePCRouter1SeGW1L2 connectionL2 connectionRouterAMMEeNB-1IP BackhaulBackboneVRRP1VRRP2SGWHRPVRRP3 VRRP4Eth-trunkL2 connectionRouterBNMSL2 connectioneNB-2Route

23、r2SeGW VRRP 主 SeGW VRRP 備IPSec流量非加密流量SeGW2V2R1C01版本新增IPSec主主雙機(jī)熱備組網(wǎng)：1、 SeGW1和SeGW2采用主主組網(wǎng)，分別起2對(duì)VRRP，互為主備，VRRP1以SeGW1為主，VRRP2以SeGW2為主；兩臺(tái)SeGW互相備份；2、eNB1和eNB2分別在不同的區(qū)域，分別選擇VRRP1和VRRP2做為主安全網(wǎng)關(guān)；3、當(dāng)其中一臺(tái)SeGW出現(xiàn)故障時(shí)，VRRP浮動(dòng)到另一臺(tái)設(shè)備，對(duì)接入端無感知，另一臺(tái)SeGW有全部的IPSec會(huì)話，可順利做IPSec轉(zhuǎn)發(fā)。33新增業(yè)務(wù)：IPSec網(wǎng)關(guān)異地容災(zāi)異地容災(zāi)：組網(wǎng)更可靠USG9500做異地容災(zāi)，本地兩臺(tái)做

24、雙機(jī)熱備，異地之間做冷備；eNB和本地SeGW建立隧道，本地SeGW向EAP發(fā)布eNB路由；eNB同時(shí)和異地SeGW建立隧道，異地SeGW不發(fā)布此eNB路由；當(dāng)本地機(jī)房發(fā)生故障或時(shí)，本地兩臺(tái)設(shè)備全部癱瘓，eNB會(huì)即使啟用與異地建立的IPSec隧道進(jìn)行業(yè)務(wù)轉(zhuǎn)發(fā)，同時(shí)異地SeGW會(huì)及時(shí)將eNB的路由發(fā)布到PS域，業(yè)務(wù)分發(fā)到異地進(jìn)行轉(zhuǎn)發(fā)。34新增業(yè)務(wù)：IPSec多點(diǎn)接入多點(diǎn)接入：靈活的虛擬化Name=parisPre-share-key=paris2chinaServer1加密流量SW1LSWLSW非加密流量1ernetLSW2LSWSW2Name=russiaPre-share-key=russi

25、a2chinaServer2USG9500做為中心節(jié)點(diǎn)時(shí)，需要設(shè)置模板方式，做為響應(yīng)方接收多方節(jié)點(diǎn)發(fā)起的IPSec常設(shè)備出一個(gè)公共接口，所有的節(jié)點(diǎn)都向這個(gè)接口發(fā)起協(xié)商。此版本解決了模板方式共用用戶名和密鑰的缺陷，保證每個(gè)節(jié)點(diǎn)在組網(wǎng)規(guī)劃時(shí)，都能使用自己獨(dú)立的名字，獨(dú)立的預(yù)共享密鑰。同時(shí)支持對(duì)每個(gè)節(jié)點(diǎn)的隧道做限流。通中心節(jié)點(diǎn)可以虛擬自己的內(nèi)部網(wǎng)絡(luò)。的形式被多個(gè)企業(yè)租用，每個(gè)企業(yè)通過IPSec隧道實(shí)現(xiàn)在公網(wǎng)能夠安全35新增業(yè)務(wù)：完善的溯源機(jī)制支持各種溯源機(jī)制 設(shè)備可輸出完整的溯源日志，NAT信息和URL信息在同一條日志中，避免了日志服務(wù)器整合過程 可提供會(huì)話級(jí)溯源方案，精確到每個(gè)會(huì)話追蹤 提供用戶級(jí)

26、溯源方案， 滿足電信靜態(tài)溯源規(guī)范，由 址和端口段對(duì)應(yīng)關(guān)系算法。在日志量下發(fā)公私網(wǎng)地 上進(jìn)行溯源。 不需要額外的日志插卡，對(duì)性能影響極小36新增業(yè)務(wù)：端口預(yù)分配NAT機(jī)制全新的NAT分配理念內(nèi)網(wǎng)ernetUSG9500地址池用戶1：公網(wǎng)，端口：5121024用戶2：公網(wǎng)，端口：10241536用戶3：公網(wǎng)，端口：15362048內(nèi)網(wǎng)用戶機(jī)制：為用戶分配固定的公網(wǎng)地址和公網(wǎng)端口段范圍；用戶上線分配IP和端口資源，下線回收；支持增量分配，端口資源不夠用時(shí)，可自動(dòng)進(jìn)行增量分配。優(yōu)勢(shì)：節(jié)省日志量：用戶上下行輸出syslog日志，一個(gè)私網(wǎng)用戶節(jié)省了日志資源。僅需輸出2條syslog日志，大大便于溯源：私網(wǎng)

27、用戶的時(shí)間段內(nèi)，無論什么目標(biāo)，始終采用一個(gè)公網(wǎng)地址和固定的端口段，在這段時(shí)間內(nèi)只要匹配這兩個(gè)信息，都可以追溯到源私網(wǎng)用戶。37新增業(yè)務(wù)：靜態(tài)算法NAT分配，調(diào)整下發(fā)靜態(tài)關(guān)系上報(bào)日志信息B/S相關(guān)系統(tǒng)IP address USG9500機(jī)制：優(yōu)勢(shì)：下發(fā)靜態(tài)算法 ；NAT設(shè)備，AAA，采用同樣的靜態(tài)算法和地址端口關(guān)系；節(jié)省日志傳輸效率：擁有所有信息，可以自動(dòng)生成相應(yīng)的日志和關(guān)系表。符合電信規(guī)范：電信專利算法，少量廠家支持。38BTSBSSBSCelog新增業(yè)務(wù)：增強(qiáng)虛擬化適應(yīng)云網(wǎng)絡(luò)發(fā)展設(shè)置策略實(shí)現(xiàn)部分用戶跨虛擬系統(tǒng)互訪多實(shí)例技術(shù)，實(shí)現(xiàn)不同業(yè)務(wù)系統(tǒng)及不同的控制策略分支機(jī)構(gòu)A業(yè)務(wù)系統(tǒng)A50M業(yè)務(wù)系統(tǒng)B分支機(jī)100M將一個(gè)物理網(wǎng)關(guān)虛擬成多個(gè)虛擬業(yè)務(wù)系統(tǒng)C網(wǎng)關(guān)，相互間.分支機(jī)構(gòu)C減少用戶投資,一臺(tái)物理設(shè)備虛擬成多臺(tái)設(shè)備,各虛擬設(shè)備自己獨(dú)立的路由表,安全策略等.,從而保證各業(yè)務(wù)系統(tǒng)之間的安全性和私密性.：通過虛擬功能將用戶業(yè)務(wù)進(jìn)行互訪：通過策略實(shí)現(xiàn)虛擬系統(tǒng)之間的互訪，滿足VIP用戶關(guān)鍵資源的需求；限流、限會(huì)話：可對(duì)每個(gè)虛擬系